Sécuriser le DNS avec DNSSEC

DNSSEC (Domaine Name Server Security Extensions) est un protocole qui permet de sécuriser les données envoyées par le DNS afin de se prémunir d’attaque de type « Cache Poisoning ». Il s’agit donc d’un ensemble d’extensions de sécurité pour le service de nom de domaine. DNSSEC ne permet pas de protéger intégralement le DNS mais seulement au niveau:

  • origine de l’authentification des données DNS
  • déni d’existence authentifié (évite l’énumération des zones)
  • intégrité des données transmises

Attention donc, DNSSEC n’informe pas de la confidentialité ou la disponibilité.

DNSSEC repose sur la cryptographie et emploie un système de signature pour les enregistrement DNS. Le navigateur peut alors s’assurer que le nom de domaine correspond à l’adresse IP originale et n’a donc pas été usurpée.

Source: http://en.wikipedia.org/wiki/Domain_Name_System_Security_Extensions